11 aylık geliştirme sürecinin ardından ISC konsorsiyumu BIND 9.16 DNS sunucusunun yeni ve önemli bir dalının ilk kararlı sürümü. Şube 9.16'ya yönelik destek, uzatılmış destek döngüsünün bir parçası olarak 2'ün 2023. çeyreğine kadar üç yıl süreyle sağlanacak. Önceki LTS şubesi 9.11'e yönelik güncellemeler Aralık 2021'e kadar yayınlanmaya devam edecek. Şube 9.14 desteği üç ay içinde sona erecek.
Ana :
- DNSSEC anahtarlarını ve dijital imzaları yönetmenin basitleştirilmiş bir yolu olan ve "dnssec-policy" direktifi kullanılarak tanımlanan kuralların belirlenmesine dayanan KASP (Anahtar ve İmza Politikası) eklendi. Bu yönerge, DNS bölgeleri için gerekli yeni anahtarların oluşturulmasını ve ZSK ve KSK anahtarlarının otomatik uygulamasını yapılandırmanıza olanak tanır.
- Ağ alt sistemi önemli ölçüde yeniden tasarlandı ve kitaplığa dayalı olarak uygulanan eşzamansız bir istek işleme mekanizmasına geçirildi .
Yeniden çalışma henüz gözle görülür herhangi bir değişiklikle sonuçlanmadı, ancak gelecek sürümlerde bazı önemli performans optimizasyonları uygulama ve TLS üzerinden DNS gibi yeni protokoller için destek ekleme fırsatı sağlayacak. - DNSSEC güven bağlantılarını yönetmeye yönelik iyileştirilmiş süreç (Güven bağlantı noktası, bu bölgenin orijinalliğini doğrulamak için bir bölgeye bağlanan genel anahtar). Artık kullanımdan kaldırılan güvenilir anahtarlar ve yönetilen anahtarlar ayarları yerine, her iki anahtar türünü de yönetmenize olanak tanıyan yeni bir güven bağlayıcı yönergesi önerildi.
İlk anahtar anahtar sözcüğüyle güven bağlantılarını kullanırken, bu yönergenin davranışı yönetilen anahtarlarla aynıdır; güven bağlantısı ayarını RFC 5011'e uygun olarak tanımlar. Trust-anchor'ları static-key anahtar kelimesiyle kullanırken, davranış güvenilir anahtarlar yönergesine karşılık gelir, ör. otomatik olarak güncellenmeyen kalıcı bir anahtarı tanımlar. Trust-anchors ayrıca iki anahtar kelime daha sunar; ilk-ds ve static-ds, bu formatta güven çapalarını kullanmanıza olanak tanır. (IANA kuruluşu gelecekte çekirdek bölge anahtarları için DS formatını kullanmayı planlıyor) DNSKEY yerine (Yetki İmzalayan), henüz yayınlanmamış anahtarlar için bağlamaların yapılandırılmasını mümkün kılar.
- YAML formatında çıktı almak için dig, mdig ve delv yardımcı programlarına “+yaml” seçeneği eklendi.
- Dig yardımcı programına "+[hayır]beklenmeyen" seçeneği eklenerek, isteğin gönderildiği sunucu dışındaki ana bilgisayarlardan yanıt alınmasına olanak sağlandı.
- AAAA kayıtlarındaki IPv6 adreslerinin RFC 128 formatı yerine tam 5952 bit gösterimde gösterilmesine neden olan yardımcı programa "+[no]expandaaaa" seçeneği eklendi.
- İstatistik kanalı gruplarını değiştirme yeteneği eklendi.
- DS ve CDS kayıtları artık yalnızca SHA-256 karmalarına dayalı olarak oluşturulmaktadır (SHA-1'e dayalı oluşturma işlemi durdurulmuştur).
- DNS Çerezi (RFC 7873) için varsayılan algoritma SipHash 2-4'tür ve HMAC-SHA desteği durdurulmuştur (AES korunur).
- dnssec-signzone ve dnssec-verify komutlarının çıktısı artık standart çıktıya (STDOUT) gönderiliyor ve yalnızca hatalar ve uyarılar STDERR'ye yazdırılıyor (-f seçeneği aynı zamanda imzalı bölgeyi de yazdırıyor). Çıkışı sessize almak için "-q" seçeneği eklendi.
- DNSSEC doğrulama kodu, diğer alt sistemlerde kod çoğaltılmasını ortadan kaldıracak şekilde yeniden düzenlendi.
- İstatistikleri JSON formatında görüntülemek için artık yalnızca JSON-C kitaplığı kullanılabilir. "--with-libjson" yapılandırma seçeneği "--with-json-c" olarak yeniden adlandırıldı.
- "--prefix" belirtilmediği sürece, yapılandırma betiği artık varsayılan olarak /etc dosyasında "--sysconfdir" ve /var dosyasında "--localstatedir" olarak ayarlanmaz. Varsayılan yollar artık Autoconf'ta kullanıldığı gibi $prefix/etc ve $prefix/var şeklindedir.
- BIND 9.12'de kullanımdan kaldırılan DLV (Etki Alanına Bakış Doğrulaması, dnssec-lookaside seçeneği) hizmetini uygulayan kod kaldırıldı ve ilgili dlv.isc.org işleyicisi 2017'de devre dışı bırakıldı. DLV'lerin kaldırılması BIND kodunu gereksiz karmaşıklıklardan kurtardı.
Kaynak: opennet.ru